Tags: RDS, Gruppenrichtlinien
Normalerweise erhält ein User seine Einstellungen von GPOs, die für seine OU wirksam sind (direkt oder durch Vererbung). Loopback Processing verändert die Anwendung von Gruppenrichtlinien, so dass die Einstellungen für Benutzer von GPOs kommen, die auf den AD-Container des Computers wirken. Dieses Feature ist vor allem nützlich, wenn man auf einem Terminal-Server eine andere Konfiguration verwenden möchte als auf einem PC.
Die Abarbeitung von GPOs durch die Client Side Extensions erfolgt normalerweise so, dass jene Einstellungen zuerst zum Zug kommen, die am weitesten vom User-Objekt entfernt mit einem Container verlinkt sind. Zum Schluss trifft es jene, die direkt mit der OU des Benutzers verknüpft sind. Dieses Verfahren stellt sicher, dass GPOs eine höhere Priorität erhalten, je näher sie in der AD-Struktur an den User angedockt sind.
Priorität von GPOs
Beispiel: Zwei GPOs konfigurieren die Einstellung Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Desktop => Desktop => Desktophintergrund. Eine davon ist mit der Domäne, die andere mit der OU Marketing verknüpft.
Wenn der Benutzer Anton Huber Mitglied der OU Marketing ist, dann überschreibt das mit dieser OU verknüpfte GPO die Einstellungen, die auf Domain-Level gesetzt wurden. User Anton Huber erhält also das Hintergrundbild, das für alle Benutzer der OU Marketing vorgesehen ist und nicht jenes, das für die ganze Domäne gilt.
Dieser relativ leicht nachvollziehbare Prozess verliert an Transparenz, wenn man die Abarbeitung von GPOs über WMI-Filter steuert, die Vererbung in bestimmten Teilbäumen deaktiviert oder die Anwendung von Einstellungen erzwingt.
Loopback verändert die Anwendung von GPOs
GPO Loopback ist ein weiterer Mechanismus, um die Ausführung von GPOs zu beeinflussen. Er dient dazu, dem Benutzer die Einstellungen von jenen GPOs zuzuteilen, die auf den Computer zutreffen.
Angenommen User Anton Huber erhält einen Session Based Desktop, der von einem Terminal-Server aus der OU Terminalserver bereitgestellt wird. Verknüpft nun der Administrator ein GPO mit der OU Terminalserver, das in der Benutzerkonfiguration ebenfalls ein Hintergrundbild festlegt, dann sorgt GPO Loopback dafür, dass sich diese Einstellung gegenüber jener durchsetzt, die für die OU Marketing definiert wurde.
Loopback wirkt sich auf alle GPOs aus
Bei GPO Loopback handelt es sich um eine Einstellung für Computer, die selbst über ein GPO angewandt wird. Die Computer, für die Loopback konfiguriert wird, ändern die Logik der GPO-Ausführung für alle Benutzer und für alle Gruppenrichtlinienobjekte.
Die Einstellung für GPO Loopback findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => System => Gruppenrichtlinie => Loopbackverarbeitungsmodus für Benutzergruppenrichtlinien konfigurieren.
Zwei Modi: Ersetzen versus Zusammenführen
Bei der Aktvierung von GPO Loopback muss man sich für einen von zwei Modi entscheiden: Ersetzen oder Zusammenführen. Ersetzen bewirkt, dass Benutzereinstellungen nur von jenen GPOs übernommen werden, die mit dem Computer assoziiert sind. Die Benutzereinstellungen von GPOs, die mit der OU des Users verknüpft sind, werden in diesem Fall ignoriert.
Der Modus Zusammenführen dagegen kombiniert erwartungsgemäß die Benutzereinstellungen von GPOs, die dem User oder dem Computer zugeordnet sind. Das Ergebnis besteht in der Summe aller Einstellungen, aber bei Konflikten setzen sich jene durch, die auf die OU des Computers wirken.
Gefahr unerwünschter Nebeneffekte
GPO Loopback wurde vor allem eingeführt, um die Benutzereinstellungen für bestimmte Umgebungen wie Kiosk-Systeme oder Terminal-Server getrennt konfigurieren zu können. Auch wenn es dafür seine Berechtigung hat, so birgt jeder weitere Eingriff in die GPO-Ausführung das Risiko unerwünschter Nebeneffekte.
Dieses steigt etwa dann, wenn der Überblick über den Einsatz von GPO Loopback verloren geht. Eine Ursache dafür kann sein, dass es in einem GPO zusammen mit mehreren anderen Einstellungen konfiguriert wurde und aus dem Namen des Gruppenrichtlinienobjekts dieser Sachverhalt nicht ersichtlich ist. Daher ist es günstiger, wenn man ein eigenes GPO nur für die Aktivierung von Loopback anlegt.
Sparsamer Gebrauch ratsam
Als Folge mangelnder Transparenz oder falscher Bewertung kann Loopback Processing zu hoch in der AD-Hierarchie aktiviert werden, so dass es sich unter Umständen auf eine ganze Domäne auswirkt. Davon wären auch Domänen-Controller betroffen, für die der Einsatz von GPO Loopback zwar sinnvoll sein kann, die man aber nicht unabsichtlich diesem Mechanismus aussetzen möchte.
Insgesamt macht GPO Loopback bei allem Nutzen, den es bei der Lösung bestimmter Probleme haben kann, den Einsatz von Gruppenrichtlinien komplizierter und fehleranfälliger. Wenn man nicht darauf verzichten will, sollte man es zumindest nicht zu großzügig einsetzen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Remotedesktop in Windows 11 und Server 2022 aktivieren (GUI, WAC, WMI, GPO)
- RDP-Client und RD Web Access für RD Gateway konfigurieren
- Einstellungen für Remotedesktop über lokale Richtlinien oder Registry konfigurieren
- Größe von Roaming Profiles über Gruppenrichtlinien beschränken
- Anleitung: Mandatory Profile (verbindliches Benutzerprofil) für Windows 10 einrichten
Weitere Links
2 Kommentare
Gute Information und gute Seite, komme aber um Hilfe vom Spezialisten nicht herum. Werde aber sicher öfter vorbeischauen!
Top Webseite!
Lande immer bei Euch und es wird mir immer geholfen! Danke.